一、SQL注入的定义
SQL Injection ,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍然是现在最常见的Web漏洞之一。
二、实现SQL注入“脱裤”数据库
实验环境 :centos 7 32位 xampp版本1.7.3 DVWA 版本1.10 burpsuite 2.0
说明:xampp是一个易于安装的Apache发行版,其中包含MariaDB、PHP、Perl,下载并启动安装程序即可
dvwa(damn vulnerable web application)是一个用来进行安全脆弱性鉴定的PHP/Mysql web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范过程。dvwa代码分为四种安全级别:low、medium、high、impossible。
burpsuite 2.0 是用于攻击web应用程序的集成平台,包含了许多工具,并为这些工具设计了许多接口,加快攻击应用程序的过程。
具体实现在medium下的数据库sql注入,窃取库、表、字段的信息